Una función es un conjunto predefinido de privilegios. Al agregar permisos a un objeto, se empareja un usuario o un grupo con una función. vCenter Server incluye varios funciones de sistema que no se pueden cambiar.

Funciones del sistema vCenter Server

vCenter Server proporciona una pequeña cantidad de funciones predeterminadas. Los privilegios asociados con las funciones predeterminadas no se pueden cambiar. Las funciones predeterminadas se organizan en una jerarquía. Cada función hereda los privilegios de la función anterior. Por ejemplo, la función de administrador hereda los privilegios de la función de solo lectura. Las funciones que se crean no heredan los privilegios de otras funciones del sistema.

Función de administrador

Los usuarios a los que se asigna la función de administrador para un objeto tienen permiso para ver el objeto y realizar todas las acciones posibles en él. Esta función también incluye todos los privilegios inherentes a la función de solo lectura. Si actúa con función de administrador en un objeto, puede asignar privilegios a usuarios y grupos individuales. Si actúa con función de administrador en vCenter Server, puede asignar privilegios a los usuarios y grupos del origen de identidad predeterminado de vCenter Single Sign-On. Los servicios de identidad admitidos incluyen Windows Active Directory y OpenLDAP 2.4.

De forma predeterminada, el usuario administrator@vsphere.local tiene la función de administrador tanto en vCenter Single Sign-On como en vCenter Server después de la instalación. Ese usuario puede asociar otros usuarios con la función de administrador en vCenter Server.

Función Sin acceso

Los usuarios a los que se asigna la función Sin acceso a un objeto no pueden ver ni cambiar ese objeto de ninguna manera. Los usuarios y grupos nuevos tienen asignada esta función de forma predeterminada. Es posible cambiar la función de un solo objeto a la vez.

El usuario administrator@vsphere.local, el usuario raíz y vpxuser son los únicos usuarios que no tienen asignada la función Sin acceso de forma predeterminada. En su lugar, tienen asignada la función de administrador. Es posible quitar al usuario raíz cualquier permiso o cambiar su función a Sin acceso siempre y cuando se cree primero un permiso de reemplazo en el nivel de raíz con la función de administrador, y se asocie este permiso a otro usuario.

Función de solo lectura

Los usuarios que tienen asignado la función de solo lectura para un objeto tienen permiso para ver el estado y los detalles de este. Con esta función, un usuario puede ver la máquina virtual, el host y los atributos de un grupo de recursos. El usuario no puede ver la consola remota de un host. Las acciones desde los menús y las barras de herramientas no están permitidas.